转用 Zero Trust 方法不必过于复杂。组织可以从实施 MFA、关闭不必要的端口和其他一些简单的步骤开始。
阅读本文后,您将能够:
复制文章链接
Zero Trust 是一种建立在组织内部已经存在威胁这一假设基础上的安全方法。在 Zero Trust 方法中,任何用户、设备或应用程序都不会自动获得“信任”——取而代之,企业网络中任何地方的每个请求都要经过严格的身份验证,即使是已经连接过该网络的用户和设备也不例外。
Zero Trust 安全架构基于以下原则构建:
要进一步了解这些原则以及它们如何相互结合、相互促进,请参阅什么是 Zero Trust 网络?
实施全面的 Zero Trust 安全措施需要一定的时间,而且需要大量的跨团队协作。组织的数字环境越复杂(即需要保护的应用程序、用户、办公室、云和数据中心的种类越多),就越需要对在这些点之间移动的每个请求强制实施 Zero Trust 原则。
因此,最成功的 Zero Trust 实施都是从较简单的步骤开始的,所需的工作和支持都较少。通过执行这些步骤,组织可以大大降低受到各种威胁的风险,并为更大规模、更具系统性的改进赢得支持。
下面是其中的五个步骤:
多因素身份验证(MFA) 要求登录应用程序的用户提供两个或多个身份验证因素,而不是只有一个(如用户名和密码)。多因素身份验证比单因素身份验证要安全得多,因为从攻击者的角度来看,窃取合在一起的两个因素的信息非常困难。
推出 MFA 是开始加强关键服务安全的好方法,此外还能温和地向用户介绍更严格的安全方法。
Zero Trust 除身份外,还考虑设备活动和状态。将 Zero Trust 策略置于所有应用程序之前是最终目标,但第一步是置于关键任务应用程序之前。
在设备和应用程序之间设置 Zero Trust 策略有多种方法,包括通过加密隧道、代理或单点登录 (SSO) 提供商。这篇文章提供了有关配置的更多详细信息。
电子邮件是一种主要的攻击手段。恶意电子邮件甚至可能来自各种可信的来源(通过帐户接管或电子邮件欺骗),因此,应用电子邮件安全解决方案是迈向 Zero Trust 的一大步。
如今,用户可通过传统的自托管电子邮件应用程序、基于浏览器的 Web 应用程序、移动设备应用程序等查看电子邮件。因此,在云托管的情况下,电子邮件安全和网络钓鱼检测会更加有效——它可以轻松过滤来自任何来源、发送到任何目的地的电子邮件,而不会干扰电子邮件流量。
在网络中,端口是计算机接收入站流量的虚拟点。开放的端口就像没有上锁的门,攻击者可以利用它侵入网络内部。端口有成千上万个,但大多数并不经常使用。组织可以关闭不必要的端口,以防止 Web 恶意流量。
从网络钓鱼网站到路过式下载,不安全的 Web 应用程序是威胁的主要来源。DNS 过滤是一种阻止不受信任的网站解析到 IP 地址的方法——这意味着在过滤器后面的任何人根本无法连接到此类网站。
有五个步骤可帮助组织顺利建立完整的 Zero Trust 安全框架。Cloudflare 提供了一份白皮书,详细介绍了这些步骤。下载:Zero Trust 架构路线图。
Zero Trust 安全模型假设不应自动信任任何用户或设备,无论这些用户和设备在网络边界之内还是之外。与侧重于边界防御的传统安全方法不同,Zero Trust 架构会验证试图访问资源的所有用户和设备,无论其位于何处。
关键组成部分包括:身份验证系统、设备运行状况验证工具,以及持续监测功能。这些组成部分协同发挥作用,根据既定的安全策略评估每个访问请求,然后再授予资源访问权限。
微分段会将网络划分为具有单独访问控制的隔离部分,从而可以在发生数据泄露时限制横向移动。它遵循最低权限原则,确保用户和设备只能访问其角色所需的特定资源。
Zero Trust 评估是对企业所有端点的安全态势进行评估。通过一次性评估获得的见解,有助于企业识别采用 Zero Trust 原则可以解决的安全差距和风险。还可以进行实时评估,帮助企业根据设备运行状况和合规检查来调整条件访问和网关策略的执行。